Avizul nr. 3/2018 referitor la proiectul de listă al autorității de supraveghere competente din Bulgaria privind operațiunile de prelucrare care fac o

Documente similare
Avizul nr. 2/2018 referitor la proiectul de listă al autorității de supraveghere competente din Belgia privind operațiunile de prelucrare care fac obi

Avizul 25/2018 privind proiectul de listă al autorității de supraveghere competente din Croația privind operațiunile de prelucrare care fac obiectul c

Ghidul 4/2018 privind acreditarea organismelor de certificare în temeiul articolului 43 din Regulamentul general privind protecția datelor (2016/679)

Avizul nr. 4/2019 privind proiectul de acord administrativ pentru transferul de date cu caracter personal între autoritățile de supraveghere financiar

Notă de informare privind transferurile de date efectuate în conformitate cu RGPD în cazul unui Brexit fără acord Adoptat la 12 februarie 2019 Introdu

REGULAMENTUL DE PUNERE ÎN APLICARE (UE) 2016/ AL COMISIEI - din 16 octombrie de stabilire a unor standarde tehnice de

Ghid Privind aplicarea regimului de avizare în temeiul articolului 4 alineatul (3) din Regulamentul privind agențiile de rating de credit 20/05/2019 E

Utilizare curentă EIOPA EIOPA-BoS-19/040 RO 19 februarie 2019 Recomandări pentru sectorul asigurărilor în contextul retragerii Regatului Unit din Uniu

COMISIA EUROPEANĂ Bruxelles, C(2018) 2526 final REGULAMENTUL DELEGAT (UE) / AL COMISIEI din de completare a Regulamentului (UE) nr

C(2015)6507/F1 - RO

AM_Ple_LegReport

TA

Microsoft Word - informare_protectie_date_clienti

COMISIA EUROPEANĂ Bruxelles, C(2018) 2980 final REGULAMENTUL DELEGAT (UE) / AL COMISIEI din de modificare a Regulamentului de pune

Recomandarea Comisiei din 18 iulie 2018 privind orientările pentru implementarea armonizată a Sistemului european de management al traficului feroviar

REGULAMENTUL DE PUNERE ÎN APLICARE (UE) 2017/ AL COMISIEI - din 14 decembrie de stabilire a standardelor tehnice de p

Lege pentru modificarea și completarea Legii nr. 16/2017 privind detaşarea salariaţilor în cadrul prestării de servicii transnaţionale Parlamentul Rom

TA

NOTĂ DE FUNDAMENTARE

Guidelines on LGD estimates under downturn conditions_RO.docx

SC COMPANIA ROMPREST SERVICE SA

COMISIA EUROPEANĂ Bruxelles, COM(2019) 112 final 2019/0062 (NLE) Propunere de DECIZIE A CONSILIULUI privind poziția care urmează să fie adopt

DIRECTIVA (UE) 2018/ A CONSILIULUI - din 4 decembrie de modificare a Directivei 2006/ 112/ CE în ceea ce privește armo

REGULAMENTUL DE PUNERE ÎN APLICARE (UE) 2015/ AL COMISIEI - din 8 septembrie privind cadrul de interoperabilitate prev

REGULAMENTUL (UE) 2019/ AL COMISIEI - din 27 februarie de modificare a anexei III la Regulamentul (CE) nr. 110/ al

RO Jurnalul Oficial al Uniunii Europene L 39/1 I (Acte adoptate în temeiul Tratatelor CE/Euratom a căror publicare este obligatorie) REGULAM

COMISIA EUROPEANĂ Bruxelles, C(2018) 7508 final DIRECTIVA DELEGATĂ (UE) / A COMISIEI din de modificare, în scopul adaptării la p

Consiliul Uniunii Europene Bruxelles, 1 iunie 2016 (OR. en) Dosar interinstituțional: 2013/0302 (COD) 7532/16 ADD 1 TRANS 93 MAR 105 CODEC 370 PROIECT

wp250rev_en

Consiliul Uniunii Europene Bruxelles, 21 noiembrie 2018 (OR. en) 14565/18 ENV 802 MI 875 DELACT 158 NOTĂ DE ÎNSOȚIRE Sursă: Data primirii: 19 noiembri

COMISIA EUROPEANĂ Bruxelles, C(2019) 1294 final REGULAMENTUL (UE) / AL COMISIEI din de modificare a Regulamentului (UE) 2017/2400

COMISIA EUROPEANĂ Bruxelles, COM(2011) 377 final 2011/0164 (NLE) Propunere de DIRECTIVĂ A CONSILIULUI de modificare a Directivei 76/768/CEE

Notificare privind Confidențialitatea InfoCert S.p.A., având sediul social situat în Piazza Sallustio 9, Roma (Italia) ( InfoCert sau Operator

Consiliul Uniunii Europene Bruxelles, 10 mai 2017 (OR. en) 8964/17 NOTĂ PUNCT I/A Sursă: Destinatar: Secretariatul General al Consiliului ENV 422 FIN

NOTA DE FUNDAMENTARE

DIRECTIVA (UE) 2018/ A CONSILIULUI - din 20 decembrie de modificare a Directivei 2006/ 112/ CE privind sistemul comun a

Raportul privind conturile anuale ale Agenției Uniunii Europene pentru Căile Ferate pentru exercițiul financiar 2016, însoțit de răspunsul agenției

COMISIA EUROPEANĂ Bruxelles, C(2017) 8435 final DECIZIA DE PUNERE ÎN APLICARE A COMISIEI din privind standardele tehnice pentru

Recomandarea Comitetului european pentru risc sistemic din 5 decembrie 2018 de modificare a Recomandării CERS/2015/2 privind evaluarea efectelor trans

Propunere subiecte de discuție adresate de AmCham România și HR Management Club către ANSPDCP Contextul inițiativei: În cursul derulării proiectelor d

POLITIA LOCALA A MUNICIPIULUI BOTOSANI Str. Mihail Kogălniceanu nr. 16, judeţul Botoşani Telefon 0231/513100, 0331/401541, Fax , poli

CL2001L0018RO bi_cp 1..1

COMISIA EUROPEANĂ Bruxelles, COM(2019) 157 final RAPORT AL COMISIEI CĂTRE CONSILIU privind progresele înregistrate de statele membre în ceea

Responsabilul cu protecţia datelor cu caracter personal (DPO) OFICIUL RESPONSABILULUI CU PROTECŢIA DATELOR PERSONALE - MAI

Jurnalul Oficial al Uniunii Europene L 242 Ediția în limba română Legislație Anul septembrie 2017 Cuprins I Acte legislative REGULAMENTE Regulam

GRUPUL DE LUCRU ARTICOLUL 29 PRIVIND PROTECȚIA DATELOR 17/RO WP259 rev.01 Grupul de lucru Articolul 29 Orientări privind consimțământul în temeiul Reg

COMISIA EUROPEANĂ Bruxelles, C(2018) 1389 final REGULAMENTUL DE PUNERE ÎN APLICARE (UE) / AL COMISIEI din privind o derogare tempora

CODE2APC

Ghid privind măsurile EMIR de marjă anti-prociclicitate pentru contrapărțile centrale 15/04/2019 ESMA RO

AM_Ple_LegReport

Consiliul Uniunii Europene Bruxelles, 24 mai 2017 (OR. en) 9645/17 REZULTATUL LUCRĂRILOR Sursă: Data: 23 mai 2017 Destinatar: Secretariatul General al

NORMĂ pentru aplicarea Ghidului ESMA privind raportările referitoare la decontarea internalizată conform articolului 9 din regulamentul privind depozi

COMISIA EUROPEANĂ Bruxelles, COM(2012) 628 final 2012/0297 (COD) Propunere de DIRECTIVĂ A PARLAMENTULUI EUROPEAN ŞI A CONSILIULUI de modifi

Consiliul Uniunii Europene Bruxelles, 21 septembrie 2015 (OR. en) Dosar interinstituțional: 2012/0267 (COD) 12042/15 NOTĂ Sursă: Destinatar: Secretari

Raportul privind conturile anuale ale Agenției Executive pentru Inovare și Rețele pentru exercițiul financiar 2016, însoțit de răspunsul agenției

LEGE nr. 190 din 18 iulie 2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27

Ghid privind raportările referitoare la decontarea internalizată conform articolului 9 din regulamentul privind depozitarii centrali de titluri de val

COMISIA EUROPEANĂ Bruxelles, SWD(2017) 479 final DOCUMENT DE LUCRU AL SERVICIILOR COMISIEI REZUMATUL EVALUĂRII IMPACTULUI care însoţeşte do

COMISIA EUROPEANĂ Bruxelles, COM(2019) 122 final 2019/0067 (NLE) Propunere de DECIZIE A CONSILIULUI privind poziția care urmează să fie adopt

SANTE/11059/2016-EN Rev. 2

Avizul cu privire la taxa pe activele financiare ale băncilor și cu privire la indicele de referință al ratei dobânzii pentru contractele de credit pe

TA

Raportul privind conturile anuale ale Unității de Cooperare Judiciară a Uniunii Europene pentru exercițiul financiar 2016, însoțit de răspunsul Euroju

CONSILIUL UNIUNII EUROPENE Bruxelles, 8 aprilie 2014 (OR. en) 7472/14 ADD 1 REV 1 PROIECT DE PROCES-VERBAL Subiect: PV CONS 14 SOC 188 SAN 124 CONSOM

COMISIA EUROPEANĂ Bruxelles, COM(2014) 749 final 2014/0358 (NLE) Propunere de DECIZIE A CONSILIULUI privind acceptarea amendamentelor la Prot

RO Acte_RO+date et nr.doc

Jurnalul Oficial al Uniunii Europene L 92 Ediția în limba română Legislație Anul 62 1 aprilie 2019 Cuprins II Acte fără caracter legislativ DECIZII De

AM_Ple_LegReport

TA

proposal Directive T4.3 tractors

CL2001L0018RO bi_cp 1..1

DECIZIA DE PUNERE ÎN APLICARE (UE) 2015/ A COMISIEI - din 8 septembrie de stabilire a specificațiilor referitoare la

CL2009R0976RO bi_cp 1..1

TA

Curtea de Conturi

A. DATE DE IDENTIFICARE FORMULAR DE CERERE PIC DE CONTROL la numărul de fax 06/ atenție: a se indica întotdeauna numerele de telefon/adresele

Nr / Aprobat, Manager Dr. Banciu Stelian POLITICA DE PRELUCRARE A DATELOR CU CARACTER PERSONAL la nivelul Spitalului Clinic de Pediat

OG revizuire CPF _Procedura amiabila_2 august 2019 FINAL

ICS Policy

TA

PR_COD_1amCom

Raportul privind conturile anuale ale Agenției Executive pentru Educație, Audiovizual și Cultură pentru exercițiul financiar 2016, însoțit de răspunsu

Consiliul Uniunii Europene Bruxelles, 27 ianuarie 2016 (OR. en) 5584/16 ADD 1 FIN 58 PE-L 4 NOTĂ PUNCT I/A Sursă: Destinatar: Subiect: Comitetul buget

DRAFT

EUIPO DANGEROUS COUNTERFEIT STUDY.docx

Regulamentul (UE) nr. 69/2014 al Comisiei din 27 ianuarie 2014 de modificare a Regulamentului (UE) nr. 748/2012 de stabilire a normelor de punere în a

Repertoriul jurisprudenței HOTĂRÂREA CURȚII (Camera a treia) 1 octombrie 2015 * Trimitere preliminară Directiva 95/46/CE Prelucrarea datelor cu caract

RO ANEXA I Partea 1 REGULAMENTUL DE FUNCȚIONARE STANDARD AL COMISIEI CONSULTATIVE SAU AL COMISIEI DE SOLUȚIONARE ALTERNATIVĂ A LITIGIILOR [ARTICOLUL 1

Microsoft Word - Lista reactualizata final.doc

TA

Microsoft Word - decizia_2012_987_referat aprobare.doc

COMISIA EUROPEANĂ Bruxelles, COM(2017) 769 final 2017/0347 (COD) Propunere de REGULAMENT AL PARLAMENTULUI EUROPEAN ŞI AL CONSILIULUI de abr

REGULAMENTUL DE PUNERE ÎN APLICARE (UE) 2015/ AL COMISIEI - din 12 august de stabilire a normelor detaliate de puner

Consiliul Uniunii Europene Bruxelles, 17 iunie 2015 (OR. en) 9305/1/15 REV 1 UEM 201 ECOFIN 410 SOC 373 COMPET 282 ENV 370 EDUC 190 RECH 178 ENER 225

AM_Ple_NonLegReport

COM(2017)47/F1 - RO (annex)

GUVERNUL REPUBLICII MOLDOVA H O T Ă R Î R E nr.7 din 18 ianuarie 2019 Chișinău Cu privire la aprobarea Regulamentului privind procedura de emitere a s

PR_COD_1amCom

DEC_4344 LI BASE RO

Transcriere:

Avizul nr. 3/2018 referitor la proiectul de listă al autorității de supraveghere competente din Bulgaria privind operațiunile de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor [articolul 35 alineatul (4) din RGPD] Adoptat la 25 septembrie 2018

Cuprins 1. Expunerea sumară a faptelor... 5 2. Evaluare... 5 2.1 Raționamentul general al CEPD cu privire la lista prezentată... 5 2.2 Aplicarea mecanismului pentru asigurarea coerenței în cazul proiectului de listă... 6 2.3 Analiza proiectului de listă... 6 Caracterul orientativ al listei... 6 Trimiterea la orientări... 6 Datele biometrice... 7 Datele genetice... 7 Datele biometrice și genetice... 7 Date de localizare... 7 Excepții de la informațiile care trebuie furnizate persoanei vizate în conformitate cu articolul 14 alineatul (5) din RGPD... 7 Trimiterea la un temei juridic specific... 8 Operatori asociați... Error! Bookmark not defined. Sisteme de informații distribuite teritorial sau transfrontaliere... 8 Migrarea de la un sistem la cel puțin altul... 8 Prelucrarea cu ajutorul unor tehnologii noi/inovatoare... 9 3. Concluzii/Recomandări... 9 4. Observații finale... 10 2

Comitetul European pentru Protecția Datelor, având în vedere articolul 63, articolul 64 alineatul (1) litera (a) și alineatele (3)-(8) și articolul 35 alineatele (1), (3), (4) și (6) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE (denumit în continuare RGPD ), având în vedere Acordul privind SEE, în special anexa XI și Protocolul 37 la acesta, astfel cum a fost modificat prin Decizia nr. 154/2018 a Comitetului mixt al SEE din 6 iulie 2018, având în vedere articolele 10 și 22 din Regulamentul său de procedură din 25 mai 2018, întrucât: (1) Rolul principal al Comitetului este de a asigura aplicarea coerentă a Regulamentului (UE) 2016/679 (RGDP) în întregul Spațiu Economic European. În conformitate cu articolul 64 alineatul (1) din RGPD, Comitetul trebuie să emită un aviz de fiecare dată când o autoritate de supraveghere intenționează să adopte o listă de operațiuni de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor în temeiul articolului 35 alineatul (4) din RGPD. Scopul prezentului aviz este, prin urmare, de a crea o abordare armonizată în ceea ce privește prelucrarea transfrontalieră sau prelucrarea care poate afecta libera circulație a datelor cu caracter personal sau a persoanelor fizice în întreaga Uniune Europeană. Deși nu impune o listă unică, RGPD promovează coerența. Comitetul urmărește să atingă acest obiectiv în avizele sale, în primul rând solicitând autorităților de supraveghere să includă anumite tipuri de prelucrare pe listele lor, în al doilea rând, solicitându-le să elimine unele criterii pe care Comitetul nu le consideră că generează neapărat riscuri ridicate pentru persoanele vizate și, în cele din urmă, solicitând acestor autorități să utilizeze unele criterii într-un mod armonizat. (2) În ceea ce privește articolul 35 alineatele (4) și (6) din RGPD, autoritățile de supraveghere competente întocmesc liste cu tipurile de operațiuni de prelucrare care fac obiectul cerinței de efectuare a unei evaluări a impactului asupra protecției datelor (denumită în continuare EIPD ). Totuși, aceste autorități aplică mecanismul pentru asigurarea coerenței în cazul în care listele respective implică operațiuni de prelucrare care au legătură cu furnizarea de bunuri sau prestarea de servicii către persoanele vizate ori cu monitorizarea comportamentului acestor persoane în mai multe state membre sau care pot afecta în mod substanțial libera circulație a datelor cu caracter personal în cadrul Uniunii. (3) Deși proiectele de listă ale autorităților de supraveghere competente fac obiectul mecanismului pentru asigurarea coerenței, acest lucru nu înseamnă că listele ar trebui să fie identice. Autoritățile de supraveghere competente dispun de o marjă de apreciere în ceea ce privește contextul național sau regional și ar trebui să țină seama de legislația lor locală. 3

Scopul evaluării/avizului CEPD nu este acela de a ajunge la o listă unică la nivelul UE, ci mai degrabă de a evita inconsecvențele semnificative care ar putea afecta protecția echivalentă a persoanelor vizate. (4) Efectuarea unei EIPD este obligatorie numai pentru operator în temeiul articolului 35 alineatul (1) din RGPD, în cazul în care prelucrarea este susceptibil[ă] să genereze un risc ridicat pentru drepturile și libertățile persoanelor fizice. Articolul 35 alineatul (3) din RGPD ilustrează ceea ce poate duce la un risc ridicat. Aceasta nu este o listă exhaustivă. În Orientările privind evaluarea impactului asupra protecției datelor 1, astfel cum au fost aprobate de CEPD 2, Grupul de Lucru Articolul 29 a clarificat criteriile care pot contribui la identificarea cazurilor în care operațiunile de prelucrare fac obiectul cerinței de efectuare a unei EIPD. În Orientările WP248 ale Grupului de Lucru Articolul 29 se precizează că, în majoritatea cazurilor, un operator de date poate considera că o prelucrare care îndeplinește două criterii ar necesita efectuarea unei EIPD; cu toate acestea, în unele cazuri, un operator de date poate considera că o prelucrare care îndeplinește doar unul dintre aceste criterii necesită o EIPD. (5) Listele întocmite de autoritățile de supraveghere competente sprijină același obiectiv de identificare a operațiunilor de prelucrare susceptibile să genereze un risc ridicat și a operațiunilor de prelucrare care necesită, prin urmare, o EIPD. Ca atare, criteriile definite în Orientările Grupului de Lucru Articolul 29 ar trebui aplicate atunci când se evaluează dacă proiectele de liste ale autorităților de supraveghere competente nu afectează aplicarea coerentă a RGPD. (6) Douăzeci și două de autorități de supraveghere competente au transmis CEPD proiectele lor de liste. O evaluare globală a acestor proiecte de liste sprijină obiectivul unei aplicări coerente a RGPD, deși complexitatea subiectului crește. (7) Avizul CEPD se adoptă în temeiul articolului 64 alineatul (3) din RGPD coroborat cu articolul 10 alineatul (2) din Regulamentul de Procedură al CEPD în termen de opt săptămâni de la prima zi lucrătoare după ce președintele și autoritatea de supraveghere competentă au decis că dosarul este complet. În urma deciziei președintelui, această perioadă poate fi prelungită cu încă șase săptămâni, ținând seama de complexitatea subiectului, ADOPTĂ PREZENTUL AVIZ: 1 Grupul de Lucru Articolul 29, Orientări privind evaluarea impactului asupra protecției datelor și stabilirea dacă prelucrarea este susceptibilă să genereze un risc ridicat în sensul Regulamentului 2016/679, (WP 248 rev. 01). 2 CEPD, Aprobarea 1/2018. 4

1. Expunerea sumară a faptelor Comisia pentru protecția datelor cu caracter personal ( autoritatea de supraveghere bulgară ) a prezentat proiectul său de listă Comitetului european pentru protecția datelor. Decizia privind caracterul complet al dosarului a fost luată la 5 iulie 2018. Perioada în care trebuie să fie adoptat avizul a fost prelungită până la 25 septembrie, ținând seama de complexitatea subiectului, având în vedere că, în același timp, douăzeci și două de autorități de supraveghere competente au prezentat proiectele de liste; prin urmare, a apărut necesitatea unei evaluări globale. 2. Evaluare 2.1 Raț ionamentul general al CEPD cu privire la lista prezentată Orice listă prezentată CEPD a fost interpretată ca o precizare suplimentară a articolului 35 alineatul (1), care va prevala în orice caz. Prin urmare, nicio listă nu poate fi exhaustivă. Întrucât lista prezentată de autoritatea de supraveghere bulgară nu precizează în mod explicit acest lucru, Comitetul solicită ca această explicație să fie adăugată în documentul care conține lista. În conformitate cu articolul 35 alineatul (10) din RGPD, Comitetul consideră că, în cazul în care o EIPD a fost efectuată deja ca parte a unei evaluări generale a impactului în contextul adoptării temeiului juridic, obligația de a efectua o EIPD în conformitate cu articolul 35 alineatele (1)-(7) din RGPD nu se aplică decât dacă statul membru consideră că este necesar. În plus, în cazul în care Comitetul solicită efectuarea unei EIPD pentru o anumită categorie de prelucrare și o măsură echivalentă este deja impusă de legislația națională, autoritatea de supraveghere bulgară va adăuga o trimitere la această măsură. Prezentul aviz nu reflectă elementele prezentate de autoritatea de supraveghere bulgară care au fost considerate ca fiind în afara domeniului de aplicare al articolului 35 alineatul (6) din RGPD. Acesta vizează elemente care nu se referă nici la furnizarea de bunuri sau prestarea de servicii către persoane vizate în mai multe state membre, nici la monitorizarea comportamentului persoanelor vizate în mai multe state membre. În plus, este puțin probabil ca acestea [să afecteze] în mod substanțial libera circulație a datelor cu caracter personal în cadrul Uniunii. Acest lucru este valabil în special pentru elementele referitoare la legislația națională și, în special, în cazul în care legislația națională prevede obligația de a efectua o EIPD. În plus, operațiunile de prelucrare care au legătură cu asigurarea respectării legii au fost considerate în afara domeniului de aplicare, deoarece nu intră sub incidența RGPD. Comitetul a constatat că mai multe autorități de supraveghere au inclus în listele lor unele tipuri de prelucrare care înseamnă în mod necesar prelucrare locală. Având în vedere că numai prelucrarea transfrontalieră și prelucrarea care poate afecta libera circulație a datelor cu caracter personal și a persoanelor vizate intră sub incidența articolului 35 alineatul (6), Comitetul nu va prezenta observații cu privire la aceste operațiuni de prelucrare locală. 5

Avizul vizează definirea unui nucleu coerent de operațiuni de prelucrare care sunt recurente pe listele furnizate de autoritățile de supraveghere. Aceasta înseamnă că, pentru un număr limitat de tipuri de operațiuni de prelucrare, care vor fi definite într-un mod armonizat, toate autoritățile de supraveghere vor solicita efectuarea unei EIPD, iar Comitetul va recomanda autorităților de supraveghere să își modifice listele în consecință, pentru a asigura coerența. În cazul în care prezentul aviz nu se referă la mențiunile din lista prezentată în vederea EIPD, atunci Comitetul nu îi solicită autorității de supraveghere bulgare să ia măsuri suplimentare. În cele din urmă, Comitetul reamintește faptul că transparența este esențială pentru operatorii de date și pentru persoanele împuternicite de aceștia. Pentru a clarifica mențiunile din listă, Comitetul consideră că efectuarea unei trimiteri explicite în liste, pentru fiecare tip de prelucrare, a criteriilor stabilite în orientări ar putea îmbunătăți această transparență. Prin urmare, Comitetul consideră că ar putea fi adăugată o explicație cu privire la criteriile pe care autoritatea de supraveghere bulgară le-a avut în vedere pentru crearea propriei liste. 2.2 Aplicarea mecanismului pentru asigurarea coerenț ei în cazul proiectului de listă Proiectul de listă prezentat de către autoritatea de supraveghere bulgară se referă la furnizarea de bunuri sau prestarea de servicii către persoane vizate, la monitorizarea comportamentului acestora în mai multe state membre și/sau poate afecta în mod substanțial libera circulație a datelor cu caracter personal în cadrul Uniunii, în principal din cauza faptului că operațiunile de prelucrare din proiectul de listă prezentat nu se limitează la persoanele vizate din această țară. 6 2.3 Analiza proiectului de listă Ținând seama de faptul că: a. articolul 35 alineatul (1) din RGPD prevede o EIPD atunci când este probabil ca activitatea de prelucrare să aibă ca rezultat un risc ridicat pentru drepturile și libertățile persoanelor fizice și că b. articolul 35 alineatul (3) din RGPD prevede o listă neexhaustivă a tipurilor de prelucrare care necesită efectuarea unei EIPD, Comitetul consideră următoarele: CARACTERUL ORIENTATIV AL LISTEI Întrucât lista prezentată de către autoritatea de supraveghere bulgară nu precizează în mod explicit faptul că lista sa nu este exhaustivă, Comitetul solicită ca această explicație să fie adăugată în documentul care conține lista. TRIMITEREA LA ORIENTĂRI Comitetul consideră că analiza efectuată în cadrul Orientărilor WP248 ale Grupului de Lucru Articolul 29 reprezintă un element esențial pentru asigurarea coerenței la nivelul Uniunii.

Prin urmare, acesta solicită diferitelor autorități de supraveghere să adauge o declarație la documentul care conține lista lor în care să se clarifice faptul că lista lor se bazează pe aceste orientări și completează și specifică orientările. Întrucât documentul autorității de supraveghere bulgare nu conține o astfel de declarație, Comitetul recomandă autorității de supraveghere bulgare să își modifice documentul în consecință. DATELE BIOMETRICE Lista prezentată de către autoritatea de supraveghere bulgară în vederea unui aviz al Comitetului prevede că prelucrarea datelor biometrice în scopul identificării unice a unei persoane fizice, coroborată cu cel puțin un alt criteriu, necesită o EIPD. În această privință, Comitetul recunoaște că lista îndeplinește obiectivul în materie de coerență. DATELE GENETICE Lista prezentată de către autoritatea de supraveghere bulgară în vederea unui aviz al Comitetului prevede că prelucrarea datelor genetice, coroborată cu cel puțin un alt criteriu, necesită o EIPD. Comitetul consideră că prelucrarea datelor genetice în sine nu este în mod necesar susceptibilă de a reprezenta un risc ridicat. Cu toate acestea, prelucrarea datelor genetice, în coroborare cu cel puțin un alt criteriu, necesită efectuarea unei EIPD. Comitetul ia notă de includerea acestui criteriu în lista autorității de supraveghere bulgare. DATELE BIOMETRICE ȘI GENETICE Lista prezentată de către autoritatea de supraveghere bulgară în vederea unui aviz cuprinde o trimitere la datele biometrice și genetice (cumulativ) ca înregistrare separată. Comitetul a fost informat de către autoritatea de supraveghere bulgară că, în versiunea originală, datele biometrice și genetice sunt de fapt luate în considerare separat. Prin urmare, Comitetul face referire la secțiunile din avizul privind datele biometrice și, respectiv, datele genetice. DATE DE LOCALIZARE Comitetul este de părere că unul dintre principiile de bază ale RGPD este coerența. Comitetul observă faptul că majoritatea listelor prezentate cuprind în mod explicit o trimitere la prelucrarea datelor de localizare. Întrucât lista prezentată de către autoritatea de supraveghere bulgară în vederea unui aviz nu conține o astfel de trimitere, Comitetul încurajează autoritatea de supraveghere bulgară să includă prelucrarea datelor de localizare pe lista sa, coroborată cu un alt criteriu. EXCEPȚII DE LA INFORMAȚIILE CARE TREBUIE FURNIZATE PERSOANEI VIZATE ÎN CONFORMITATE CU ARTICOLUL 14 ALINEATUL (5) DIN RGPD Comitetul consideră că tipurile de activități de prelucrare care ar putea priva persoanele vizate de drepturile care le revin nu prezintă un risc ridicat în sine. Prin urmare, o activitate de prelucrare efectuată de către operator în temeiul articolului 14 din RGPD și în cazul în care informațiile care urmează să fie furnizate persoanelor vizate fac obiectul unei derogări în temeiul articolului 14 alineatul (5) literele (b) (d), ar putea necesita efectuarea unei EIPD 7

numai coroborată cel puțin cu un alt criteriu. Lista prezentată de către autoritatea de supraveghere bulgară în vederea unui aviz al Comitetului necesită, în prezent, efectuarea unei EIPD pentru prelucrarea datelor în cazul în care articolul 14 alineatul (5) literele (b), (c) și (d) se aplică în mod autonom. Comitetul solicită autorității de supraveghere bulgare să își modifice lista în mod corespunzător, prin adaptarea mențiunii de pe listă, adăugând că este nevoie de o EIPD numai în legătură cu cel puțin un alt criteriu. TRIMITEREA LA UN TEMEI JURIDIC SPECIFIC Potrivit Comitetului, utilizarea unui temei juridic specific nu ar trebui să fie un criteriu care să ducă la o obligație de a efectua o EIPD, numai pe baza sa ori împreună cu un alt criteriu. Având în vedere faptul că lista prezentată de către autoritatea de supraveghere bulgară în vederea unui aviz al Comitetului ia în considerare un astfel de tip de prelucrare care necesită o evaluare a impactului asupra protecției datelor, Comitetul solicită autorității de supraveghere bulgare să își modifice lista în mod corespunzător, prin eliminarea trimiterii din lista sa la orice temei juridic specific. OPERATORI ASOCIAȚI Potrivit Comitetului, operatorii asociați nu ar trebui să fie un criteriu care să ducă la o obligație de a efectua o EIPD, numai pe baza sa ori împreună cu un alt criteriu. Prin urmare, prelucrarea datelor cu caracter personal efectuată de operatori asociați nu ar trebui să necesite, în sine, efectuarea unei EIPD. Lista prezentată de către autoritatea de supraveghere bulgară în vederea unui aviz al Comitetului necesită în prezent efectuarea unei EIPD în cazul în care se realizează o prelucrare de către operatori asociați. Comitetul solicită autorității de supraveghere bulgare să își modifice lista în mod corespunzător, prin eliminarea de pe lista sa a elementului care vizează prelucrarea efectuată de operatori asociați. SISTEME DE INFORMAȚII DISTRIBUITE TERITORIAL SAU TRANSFRONTALIERE Potrivit Comitetului, operațiunile de prelucrare, realizate cu ajutorul sistemelor de informații distribuite teritorial sau transfrontaliere, nu ar trebui să fie un criteriu care să ducă la o obligație de a efectua o EIPD numai pe baza sa ori împreună cu un alt criteriu. Dat fiind faptul că lista prezentată de autoritatea de supraveghere bulgară în vederea unui aviz al Comitetului ia în considerare un astfel de tip de prelucrare care necesită o evaluare a impactului asupra protecției datelor, Comitetul solicită autorității de supraveghere bulgare să își modifice lista în mod corespunzător, prin eliminarea din lista sa a trimiterii la operațiuni de prelucrare realizate cu ajutorul sistemelor de informații distribuite teritorial sau transfrontaliere. MIGRAREA DE LA UN SISTEM LA CEL PUȚIN ALTUL Comitetul consideră că migrarea de la un sistem la altul în sine nu este în mod necesar susceptibilă de a reprezenta un risc ridicat. Cu toate acestea, migrarea de la un sistem la altul coroborată cu cel puțin un alt criteriu necesită efectuarea unei EIPD. Lista prezentată de către autoritatea de supraveghere bulgară în vederea unui aviz al Comitetului necesită în prezent efectuarea unei EIPD în cazul în care se realizează o migrare de la un sistem la altul în sine. Comitetul solicită autorității de supraveghere bulgare să își modifice lista în mod 8

corespunzător, prin adăugarea faptului că elementul care se referă la migrarea de la un sistem la altul necesită efectuarea unei EIPD numai coroborată cu cel puțin un alt criteriu. PRELUCRAREA CU AJUTORUL UNOR TEHNOLOGII NOI/INOVATOARE Lista prezentată de către autoritatea de supraveghere bulgară în vederea unui aviz al Comitetului prevede că prelucrarea datelor cu caracter personal cu ajutorul unei tehnologii inovatoare coroborate cu cel puțin un alt criteriu necesită o EIPD. Comitetul ia notă de includerea pe listă a acestui criteriu. 3. Concluzii/Recomandări Proiectul de listă al autorității de supraveghere bulgare poate conduce la o aplicare incoerentă a cerinței privind o EIPD și trebuie efectuate următoarele modificări: 9 în ceea ce privește caracterul orientativ al listei: Comitetul solicită să se adauge o explicație în documentul care conține lista, menționând caracterul neexhaustiv al acesteia; în ceea ce privește trimiterea la orientări: Comitetul solicită autorității de supraveghere bulgare să își modifice documentul în consecință; în ceea ce privește datele de localizare: Comitetul încurajează autoritatea de supraveghere bulgară să includă în lista sa prelucrarea datelor de localizare, împreună cu un alt criteriu; în ceea ce privește excepțiile de la informațiile care trebuie furnizate persoanelor vizate în conformitate cu articolul 14 alineatul (5) din RGPD: Comitetul solicită autorității de supraveghere bulgare să își modifice lista, prin adăugarea mențiunii că este nevoie de o EIPD numai coroborată cu cel puțin un alt criteriu; în ceea ce privește legătura temeiului juridic cu un nivel ridicat de risc: Comitetul solicită autorității de supraveghere bulgare să își modifice lista, prin eliminarea de pe lista sa a trimiterii la orice temei juridic; în ceea ce privește operatorii asociați: Comitetul solicită autorității de supraveghere bulgare să își modifice lista, prin eliminarea de pe lista sa a trimiterii la operatorii asociați; în ceea ce privește operațiunile de prelucrare care sunt efectuate prin intermediul unor sisteme de informații distribuite teritorial sau transfrontaliere: Comitetul solicită autorității de supraveghere bulgare să își modifice lista, prin eliminarea de pe lista sa a trimiterii la operațiunile de prelucrare care sunt realizate prin intermediul unor sisteme de informații distribuite teritorial sau transfrontaliere; în ceea ce privește migrarea de la un sistem la cel puțin altul: Comitetul solicită autorității de supraveghere bulgare să își modifice lista, prin adăugarea mențiunii că

elementul care se referă la migrarea de la un sistem la altul necesită efectuarea unei EIPD numai coroborată cu cel puțin un alt criteriu. 4. Observaț ii finale Prezentul aviz se adresează Comisiei pentru protecția datelor cu caracter personal ( autoritatea de supraveghere bulgară ) și va fi făcut public în temeiul articolului 64 alineatul (5) litera (b) din RGPD. În conformitate cu articolul 64 alineatele (7) și (8) din RGPD, autoritatea de supraveghere transmite președintelui, prin mijloace electronice, în termen de două săptămâni de la primirea avizului, dacă își va modifica sau menține proiectul de listă. În același termen, aceasta transmite proiectul de listă modificat sau, în cazul în care nu intenționează să urmeze avizul Comitetului, prezintă motivele relevante pentru care nu intenționează să urmeze avizul, integral sau parțial. Pentru Comitetul European pentru Protecția Datelor, Președintele (Andrea Jelinek) 10

2024 © DocPlayer.ro Politica de confidențialitate | Reguli de utilizare | Feedback-ul